새로운 'Infiniti Stealer' 멀웨어, Mac 암호화폐 지갑 노려

공격자들, 가짜 Cloudflare 페이지 통해 'ClickFix' 익스플로잇 배포

GoPlus Security와 Malwarebytes의 보안 연구원들은 macOS 사용자를 대상으로 'Infiniti Stealer' 멀웨어를 배포하는 새로운 캠페인을 발견했습니다. 이 공격 방식은 'ClickFix'로 알려진 사회 공학 기법에 의존합니다. 사용자에게는 설득력 있지만 가짜인 Cloudflare CAPTCHA 페이지가 표시되며, 이 페이지는 사용자가 인간임을 증명하기 위해 Mac 터미널에서 명령을 실행하도록 지시합니다.

이 명령을 실행하면 감염 체인이 시작됩니다. Bash 스크립트가 다운로드되어 실행되고, 이 스크립트가 다시 주요 멀웨어 페이로드를 가져옵니다. 이전에는 Windows 사용자를 대상으로 한 공격에서 흔했던 이 기술이 이제 Mac 사용자층을 효과적으로 대상으로 하도록 조정되었으며, 이는 사이버 범죄자들이 많은 사람들이 더 안전하다고 인식하는 운영 체제로 전략적 전환을 하고 있음을 시사합니다.

Infiniti Stealer, 지갑 및 키체인 자격 증명 표적으로 삼아

'Infiniti Stealer' 페이로드가 실행되면, 가치 있는 데이터를 체계적으로 유출하려 합니다. 이 멀웨어는 브라우저 자격 증명 저장소, 중앙 macOS 키체인, 그리고 암호화폐 지갑과 관련된 파일에서 정보를 찾아 훔치도록 특별히 코딩되어 있습니다. 데이터를 수집한 후, HTTP POST 요청을 통해 원격 명령 및 제어(C&C) 서버로 전송되며, 텔레그램 채널을 통해 공격자에게 알림이 전송됩니다.

탐지 및 분석을 복잡하게 하기 위해, 이 멀웨어는 Python 스크립트를 네이티브 바이너리로 변환하는 도구인 Nuitka를 사용하여 컴파일됩니다. 이는 보안 도구의 정적 분석을 더 어렵게 만듭니다. 이 정교한 탈취 멀웨어의 출현은 macOS에서 암호화폐 보유자들에게 증가하는 위험을 강조하며, 사용자 및 지갑 제공업체 모두에게 기본 운영 체제 보호를 넘어선 보안 강화 조치를 취하도록 압력을 가하고 있습니다.